الصفحة الرئيسية

برامج ضارة جديدة من Rilide تستهدف المتصفحات القائمة على Chromium لسرقة العملة المشفرة

 


متصفحات الويب المستندة إلى Chromium هي هدف برنامج ضار جديد يسمى Rilide يتنكر على أنه امتداد شرعي على ما يبدو لجمع البيانات الحساسة وسحب العملة المشفرة.

قالت Trustwave SpiderLabs Research: "يتم إخفاء برنامج Rilide الخبيث باعتباره امتدادًا شرعيًا لـ Google Drive ويمكّن الجهات الفاعلة في التهديد من تنفيذ مجموعة واسعة من الأنشطة الضارة ، بما في ذلك مراقبة سجل التصفح والتقاط لقطات شاشة وحقن نصوص ضارة لسحب الأموال من مختلف عمليات تبادل العملات المشفرة". في تقرير مشترك مع The Hacker News.

علاوة على ذلك ، يمكن أن تعرض البرامج الضارة المسروقة حوارات مزورة لخداع المستخدمين لإدخال رمز مصادقة ثنائي لسحب الأصول الرقمية.

قالت Trustwave إنها حددت حملتين مختلفتين تضمنتا Ekipa RAT و Aurora Stealer والتي أدت إلى تثبيت امتداد المتصفح الضار.

بينما يتم توزيع Ekipa RAT عبر ملفات Microsoft Publisher المفخخة ، تعمل إعلانات Google المارقة بمثابة ناقل تسليم لـ Aurora Stealer - وهي تقنية أصبحت شائعة بشكل متزايد في الأشهر الأخيرة.

تسهل كلتا سلسلتي الهجوم تنفيذ أداة التحميل التي تعتمد على Rust والتي بدورها تعدل ملف اختصار LNK للمتصفح وتستفيد من مفتاح سطر الأوامر "--load-extension" لبدء تشغيل الوظيفة الإضافية.


الأصول الدقيقة لـ Rilide غير معروفة ، لكن Trustwave قالت إنها تمكنت من العثور على منشور منتدى تحت الأرض تم إنشاؤه في مارس 2022 من قبل ممثل تهديد يعلن عن بيع الروبوتات بوظائف مماثلة.

منذ ذلك الحين ، وجد جزء من الكود المصدري للبرامج الضارة طريقه إلى المنتديات بعد ما يبدو أنه نزاع دفع لم يتم حله.

تتمثل إحدى الميزات البارزة التي تم تنفيذها في التعليمات البرمجية المصدر المسربة في القدرة على تبديل عناوين محفظة العملة المشفرة في الحافظة باستخدام عنوان يتحكم فيه الممثل مشفرًا في العينة.

علاوة على ذلك ، فإن عنوان القيادة والتحكم (C2) المحدد في رمز Rilide جعل من الممكن تحديد مستودعات GitHub المختلفة التي تنتمي إلى مستخدم يُدعى gulantin والتي تحتوي على لوادر للامتداد. أزال GitHub الحساب المعني.

وخلص Trustwave إلى أن "برنامج Rilide Stealer هو مثال رئيسي على التطور المتزايد لإضافات المستعرضات الضارة والمخاطر التي تشكلها".

"في حين أن التنفيذ القادم للبيان v3 قد يجعل الأمر أكثر صعوبة بالنسبة للجهات الفاعلة في التهديد ، فمن غير المرجح أن تحل المشكلة تمامًا لأن معظم الوظائف التي استفادت من Rilide ستظل متاحة."

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة